Hackers voeren de druk op bij ChipSoft, de Nederlandse leverancier van het elektronisch patiëntendossier HiX. Zij zeggen interne data te hebben buitgemaakt en dreigen met publicatie om losgeld af te dwingen. Het incident speelt in Nederland en raakt zorginstellingen die het systeem gebruiken. Het is nog onduidelijk wanneer en hoe de aanval precies plaatsvond en of patiëntgegevens zijn getroffen.
Aanvallers voeren druk op
De aanvallers publiceren kleine hoeveelheden informatie als “bewijs” en stellen deadlines. Dit zogenoemde dubbele afpersingsmodel combineert diefstal met dreigen om data vrij te geven. Het doel is maximale druk op het bedrijf en zijn klanten.
ChipSoft bevestigt een beveiligingsincident en zegt onderzoek te doen met externe specialisten. Details blijven beperkt zolang het onderzoek loopt. Er is op het moment van schrijven geen publiek bewijs dat patiëntendossiers uit HiX breed zijn gelekt, maar dat risico kan niet worden uitgesloten.
Bij dit soort aanvallen worden vaak meerdere drukmiddelen ingezet. Denk aan dreigementen per e‑mail, DDoS‑aanvallen (het platgooien van websites met verkeer) en het publiceren van voorbeeldbestanden. Zulke stappen vergroten de kans op reputatieschade en volgen een vast patroon in de ransomware‑economie.
Ketenrisico in de zorg groot
ChipSoft levert HiX aan een groot deel van de Nederlandse ziekenhuizen en klinieken. Daardoor kan één leveranciersincident uitgroeien tot een ketenrisico. Ziekenhuizen zijn in hoge mate afhankelijk van updates, ondersteuning en beveiligingsmaatregelen bij de leverancier.
Een elektronisch patiëntendossier (EPD) is het hart van de zorg-IT: planning, medicatie, OK‑processen en labuitslagen lopen erdoorheen. Verstoring kan direct gevolgen hebben voor de continuïteit en veiligheid van zorg. Ook als het EPD blijft draaien, kan onzekerheid over mogelijke datadiefstal tot extra controles en vertragingen leiden.
Zorginstellingen werken met verwerkersovereenkomsten waarin beveiligingseisen staan. Toch blijft zicht op toeleveringsketens lastig, zeker bij complexe software met veel componenten. Sectorale organisaties als Z‑CERT adviseren daarom periodieke ketenanalyses en gezamenlijke crisisoefeningen.
AVG meldplicht geldt nu
Als er kans is dat persoonsgegevens zijn gelekt, geldt de meldplicht datalekken onder de AVG. De verwerkingsverantwoordelijke (meestal het ziekenhuis) moet binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Een leverancier zoals ChipSoft is verwerker en moet betrokken klanten direct informeren, zodat zij kunnen beoordelen wat nodig is.
Is het risico voor betrokkenen hoog, dan moeten patiënten begrijpelijk en gericht worden geïnformeerd. In zo’n bericht staat welke gegevens het betreft, mogelijke gevolgen en welke maatregelen zijn genomen. Goede versleuteling kan de verplichting tot informeren beperken, maar alleen als sleutels niet zijn buitgemaakt.
Logboeken, dataminimalisatie en duidelijke bewaartermijnen verkleinen de impact van een incident. Ook helpt een vooraf uitgevoerde DPIA (gegevensbeschermingseffectbeoordeling) om snel te bepalen welke risico’s er zijn. Dit zijn kernpunten uit de AVG‑praktijk voor zorg-IT.
“Een datalek moet binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens worden gemeld, tenzij het onwaarschijnlijk is dat het een risico inhoudt voor de rechten en vrijheden van personen.”
NIS2 vergroot bestuursplicht
De Europese NIS2‑richtlijn legt zwaardere cybersecurity‑eisen op aan essentiële en belangrijke organisaties, waaronder zorginstellingen en een deel van hun ICT‑leveranciers. Bestuurders moeten risicobeheermaatregelen goedkeuren en erop toezien. Niet‑naleving kan leiden tot hoge boetes en bestuurlijke aansprakelijkheid.
Verplichtingen omvatten onder meer ketenbeveiliging, incidentrespons, bedrijfscontinuïteit en regelmatige testen. Ook zijn er gefaseerde meldplichten richting het nationale CSIRT en de toezichthouder. In de zorg is Z‑CERT het aangewezen sectorloket voor ondersteuning en delen van dreigingsinformatie.
Nederland werkt de NIS2‑regels in nationale wetgeving uit, met sectorale invulling voor de zorg op het moment van schrijven nog in beweging. Voor ziekenhuizen en leveranciers betekent dit: sneller melden, beter aantoonbaar beheersen en het bestuur actief betrekken. Dit incident onderstreept die richting.
Weerbaarheid vraagt basismaatregelen
Aanvallers komen vaak binnen via gestolen wachtwoorden, phishing of kwetsbare externe toegang. Daarna volgen zij een vast patroon: privileges verhogen, data stelen en systemen versleutelen. Multifactor‑authenticatie, strikte toegangsrechten en het beperken van beheeraccounts maken dat pad veel lastiger.
Netwerksegmentatie voorkomt dat een inbraak overal bij kan. Goede monitoring en loganalyse versnellen detectie. Snelle isolatie van verdachte systemen kan het verschil maken tussen een incident en een grote crisis.
Offline en getest back‑upbeheer blijft een laatste redmiddel. Herstelprocedures moeten regelmatig worden geoefend, inclusief uitwijk voor primaire zorgprocessen. Contractueel vastgelegde eisen zoals NEN 7510‑conformiteit, penetratietesten en tijdige patching horen standaard te zijn in de samenwerking tussen zorginstelling en leverancier.
Voor patiënten is de praktische boodschap: wees alert op gerichte phishing en identiteitsfraude als er daadwerkelijk gegevens zijn gelekt. Controleer ongebruikelijke berichten die zeggen van een ziekenhuis of leverancier te zijn. Officiële communicatie volgt via bekende kanalen en verwijst naar de website van de zorginstelling voor bevestiging.
